Miles de routers hackeados para cambiarles las DNS

Redes

Las DNS son importantísimas para navegar por la red, ya que nos ayudan a convertir el texto de la URL que introducimos en el navegador en su dirección IP para poder visitarla. En el caso de que alguien sea capaz de modificarlas, puede llevarnos a las páginas web que él quiera. Eso ha estado pasando con miles de routers.

Casi 15.000 routers de D-Link han sido cambiados y usan DNS falsas

Entre los afectados se encuentran modelos de la marca D-Link, con casi 15.000 usuarios hackeados. El ataque se ha llevado a cabo durante los últimos tres meses, y ha afectado a una amplia variedad de routers como los que podemos tener en casa. Para llevar a cabo el ataque, los hackers se han aprovechado de una vulnerabilidad en el firmware de estos routers que les permite hacer cambios en la configuración sin que nadie se dé cuenta. Entre los routers afectados se encuentran los siguientes modelos:

  • D-Link DSL-2640B – 14,327
  • D-Link DSL-2740R – 379
  • D-Link DSL-526B – 7
  • DSLink 260E routers – 7
  • Secutech routers – 17
  • TOTOLINK routers – 2,265

Como vemos, la mayoría de routers son ADSL, por lo que es muy probable que lleven años sin recibir parches ni ningún tipo de actualización de seguridad para arreglar vulnerabilidades. Los ataques se llevaron a cabo en tres oleadas diferentes en diciembre de 2018 y febrero y marzo de 2019. Además, los ataques todavía están llevándose a cabo.

router d-link dns hacked

El ataque funciona de manera relativamente sencilla. En primer lugar, el hacker accede al router a través de la vulnerabilidad, y cambia los ajustes de las DNS en el panel de configuración, e introduce unas que él controle. Así, por ejemplo, si el usuario va a acceder a Facebook, en realidad las DNS falsas le estarán redirigiendo a una dirección IP que el atacante controla, y que tendrá una apariencia muy parecida al Facebook real. Al loguearnos, le estaremos dando a él nuestras credenciales.

Comprueba las DNS y actualiza el firmware

Sin embargo, los investigadores no consiguieron descubrir qué páginas estaban intentando suplantar los hackers. Lo que sí descubrieron eran dos direcciones IP hosteadas en Blue Angel Host, un proveedor de alojamiento que suele ser permisivo con webs falsas y relacionadas con la ciberdelincuencia.

Este tipo de ataques no son nuevos, ya que se conocen desde hace más de una década con los llamados DNSChanger. Normalmente este tipo de ataques son raros, pero si se da con una vulnerabilidad muy extendida puede llevar a casos como el que recogemos hoy. Estos ataques normalmente van dirigidos a webs concretas, como el que afectó en 2016 a Brasil donde se suplantaban las webs de diversos bancos del país.

Por tanto, si tenéis uno de los modelos de routers del listado superior y no habéis actualizado el firmware, hacedlo y revisad las DNS de la configuración y cambiarlas manualmente por algunas de las mejores DNS que podéis poner en 2019, como las de Google o las de Cloudflare. Si entráis en la configuración y encontráis una de las siguientes cuatro IP, es que os han hackeado las DNS:

  • 70.173.48
  • 217.191.145
  • 128.126.165
  • 128.124.131

Actualización: desde D-Link han informado de que el único router europeo afectado ha sido el DSL-2740R Rev. Ax, y la vulnerabilidad que tenía ya fue parcheada en 2015. Los productos afectados por la vulnerabilidad contaban con un firmware que no se ha lanzado en Europa.

Escrito por Alberto García

Fuente > ZDNet

Continúa leyendo
  • Konde Mor

    Vaya tela estamos cada vez mejor.

  • Mohamed Abdul Rashid

    Yo sí e visto todo ese tipo de cosas es por eso que cambie de router ya que la mayoría de los routers queqte dan las compañias de servicios de internet son una mier… Así que es mejor ver qué velocidad tienes de internet para que lo vas a utilizar y cambiar tu router por uno del mercado según accesible a tu bolsillo por ejemplo yo compré el Router Netgear Nighthawk D7800-100PES para Gaming que realmente es un verdadero MONSTRO a la hora de conectarte y modificar tu red de internet además NO hay que olvidarse de cambiar las DNS dadas por ti router , por ejemplo usaba las de Open , pero ahora me cambie a las de Cloudflare (1.1.1.1 y 1.0.0.1) que son por ahora las más rápidas del mundo , otra cosa es que escondan sus redes siempre y quitenles el nombre y la contraseña que traen de fábrica , porque hay maneras de sacar su contraseña por ejemplo: Infinitum»pxw9″es la red y la direccion Mac es d4:40:f0:3e:44:3c acá no te voy a decir cómo está el truco pero con ciertos números de la Mac y los ultimos de el nombre de la red te estoy diciendo la contraseña que trae esa red de fábrica y si me equivoco en algo diganmelo para corregirlo esto se trata de ayudar y poder mejorar nuestra seguridad y nuestros datos personales saludos desde México